|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es |
Gusano que se propaga por correo electrónico y comparticiones de red. También instala un backdoor utilizando la red IRC.
Nombre de virus: W32/Cissi.worm
Alias conocidos: I-Worm.Cissi
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y comparticiones de red
Activación: Por
ejecución de fichero adjunto (.pif, .exe)
Detección: desde
DATS 4312
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)
w32/Cissi.worm es un gusano de Internet que propaga por email y por comparticiones de red. También puede actuar como un backdoor utilizando la red de IRC.
Cuando se ejecuta, el gusano se copia como:
· %WinSys%\CISSI.exe
donde %WinSys% es el directorio de sistema de Windows.
Modifica la siguiente clave de registro para ejecutarse al inicio de Windows:
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe %WinSys%\CISSI.exe"
· .htt
· .rtf
· .doc
· .xls
· .ini
· .mdb
· .txt
· .htm
· .html
· .wab
· .pst
· .fdb
· .cfg
· .ldb
· .eml
· .abc
· .ldif
· .nab
· .adp
· .mdw
· .mda
· .mde
· .ade
· .sln
· .dsw
· .dsp
· .vap
· .php
· .asp
· .shtml
Escribe las direcciones de email que recopila al siguiente fichero:
Utiliza su propio motor SMTP para enviar emails. Los mensajes tienen las siguientes características:· %WinSys%\CISSI.dll
· Heres a poem for you
· Ive written a poem for you
· Love poems for you :)
· Look what i wrote for you
· Poems for you
· Roses are red,
· You are mine,
· I love you until im dead,
· It will all be fine.
· I do miss you
· I do love you
· what you want me to do?
· I never want to go.
· Where did you run?
· Where did you hide?
· I stand here undone
· I stand here inside
· How could u do that
· Why did you say that
· How do you feel inside
· I wish i just could hide
Adjunto: (uno de los siguientes)
· LovePoem.pif
· Poem_collection.pif
· Zipped_poems.exe
· My Poems.txt.exe
· Poems.pif
· Sad Stories and Poems.pif
· My Story.pif
· The Poems.pif
· Poems for you.pif
· Only Poems.txt.pif
Mensaje: (ninguno)
El gusano hace uso de funciones de NetBIOS para conectar a direcciones IP generadas aleatoriamente. Utiliza un nombre de usuario predefinido y una lista de contraseñas para intentar obtener acceso. Genera muchas conexiones NetBIOS salientes (puerto 139).
También conecta al servidor IRC irc.undernet.org en el puerto 6667. Utiliza un nombre de usuario generado aleatoriamente para conectarse a un canal predefinido. Una vez conectado, puede escuchar comandos IRC y realizar diversas actividades backdoor, tales como descargar y ejecutar ficheros.